Chaque fois que je publie un nouvel article sur Electronic Arts, une partie de moi meurt un peu. Cette semaine (plutôt comme cette heure), il s’agit du client de téléchargement direct d’EA, Origin, et du massif vulnérabilité qui met plus de 40 millions d’utilisateurs en danger d’exploitation par des tiers.
Les participants à un événement Black Hat vendredi dernier à Amsterdam ont reconnu et démontré l'exploit en installant un logiciel malveillant sur des ordinateurs vulnérables. "La plate-forme Origin permet aux utilisateurs malveillants d'exploiter des vulnérabilités ou des fonctionnalités locales en abusant du mécanisme de traitement de l'URI Origin", expliquent Donato Ferrante et Luigi Auriemma, chercheurs chez ReVuln. En termes simples, un utilisateur accède à un URI en jeu et la superposition d'Origine est amenée à le traiter comme un lien d'installation convivial. Malheureusement, au lieu de télécharger Battlefield 3, il ne vous reste plus qu'à Battlefield: Tuez votre GPU.
En modifiant les variables dans les liens d'URI sous-jacents, les commandes permettant de démarrer un jeu peuvent être remplacées par des instructions permettant à un ordinateur d'installer un programme malveillant à la place. La technique fonctionne contre les personnes qui ont installé Crysis 3 et une variété d'autres jeux. D'autres techniques fonctionnent contre des machines avec différents titres installés.
L'exploit est exceptionnellement similaire à celui qui a affecté Steam à la fin de l'année dernière. Autant que je sache, Steam n’a pas encore corrigé ce problème dans son architecture. Cela indique soit: l'exploit est dieu trop compliqué à résoudre (douteux), ou que le risque de sécurité est un pari nécessaire, et les deux sociétés considèrent que les avantages du système URI l'emportent sur les préoccupations (exceptionnellement plus probables, voire légèrement décevants). ).
Une mauvaise évaluation environnementale fait de plus en plus l’objet de l’attention des médias, et les rapports d’actions indiquent une entreprise en train de sombrer. Je ne dis pas que vous devriez abandonner le navire - je ne dis même pas que EA ne pourra pas récupérer du T1 2013 - mais je un m dire, c’est qu’il ya définitivement de la place pour un autre jeu gratuit dans ma bibliothèque d’origine, EA.
Je rigole. La plupart.